Лжеантивирус

Поделись знанием:
Перейти к: навигация, поиск

Лжеантиви́рус (или псевдоантивирус) — компьютерная программа, которая имитирует удаление вредоносного программного обеспечения, или сначала заражает, потом удаляет.[1] К концу 2000-х годов значимость лжеантивирусов как угрозы персональным компьютерам повысилась.[2] В первую очередь, это связано с тем, что в США частично взяли под контроль индустрию spyware и adware[3], а UAC и антивирусы оставляют всё меньше шансов ПО, проникающему без ведома пользователя. Во-вторых, полноценных антивирусных программ стало настолько много, что сложно запомнить их все. Так, VirusTotal на конец 2015 года располагает 57 антивирусами.[4]





Описание и метод действия

Лжеантивирусы относятся к категории троянских программ[5], то есть программ, распространяемых с целью вымогательства банковских данных. В отличие от «нигерийских писем» (которые играют на алчности и сострадании), фишинга и ложных лотерейных выигрышей, лжеантивирусы похожи на винлокеры — они играют на страхе заражения системы[6], шантажируя пользователя для получения нужной информации. Встречаясь чаще всего под видом всплывающих окон веб-браузера, они якобы сканируют операционную систему пользователя и тут же выявляют в ней вирусы и другие вредоносные программы[2]. Для наибольшей достоверности этот процесс также может сопровождаться внедрением одной или нескольких программ такого типа в систему путём обхода конфигурации[5], особенно если компьютер обладает минимальной и легкообходимой защитой. В итоге компьютер-жертва начинает выдавать сообщения о невозможности продолжения работы ввиду заражения, а лжеантивирус — упорно предлагать купить услугу или же разблокировать её, введя данные кредитной карты[7].

Самые первые лжеантивирусы возникли с развитием интернета и представляли собой лишь окна, имитирующие ОС (чаще всего — проводник Windows и рабочий стол интерфейса Windows XP) с присущими звуками при загрузке и нажатии кнопок. Такие окна легко убирались блокировщиками рекламы, например, Adblock Plus. Во второй половине 2000-х годов лжеантивирусы превратились в полноценные программы и стали выдавать себя за настоящие антивирусы при помощи использования агрессивной рекламы, ложных пользовательских отзывов или даже «отравления» поисковых результатов при вводе ключевых слов (в том числе по темам, не связанным с компьютерной безопасностью).[8][9][10] Такие программы задумывались с названиями, похожими на названия настоящих антивирусов (например Security Essentials 2010 вместо «Microsoft Security Essentials» или AntiVirus XP 2008 вместо «Norton AntiVirus») и работали по принципу прямого отправления денег распространителям — партнёрским сетям за каждую удачную исталляцию.[11]

Статистика

В конце 2008 года обнаружено, что партнёрская сеть, распространявшая Antivirus XP 2008, получила за свою работу около 150 тыс. $.[12] В 2010 году Google пришёл к заключению, что половина вредоносного ПО, проникающего через рекламу, — лжеантивирусы.[13] В 2011 тот же Google исключил из поиска домен co.cc, дешёвый хостинг,[14], на которых размещались в том числе и распространители псевдоантивирусов.

Выгода для распространителя

Распространитель может получать прибыль от лжеантивируса разными путями.

  • Обычное для вредоносной программы поведение: кража аккаунтов, блокировка ОС, эксплуатация вычислительной мощи компьютера и т. п.
  • Программа может в «демонстрационном режиме» имитировать обнаружение вирусов и выдавать предупреждения о том, что ОС не защищена, а для исправления попросить зарегистрировать.[15][16] Чтобы была видимость заражения, лжеантивирус может устанавливать настоящие вирусы, а затем находить их, искусственно дестабилизировать ОС, изменяя критические настройки, и даже имитировать «синие экраны».[2]
  • Лжеантивирус может просить деньги на псевдоблаготворительность.[17]
  • Антивирусная программа может быть самая настоящая (обычно основанная на ClamAV), однако её цена, как правило, выше, чем цены на аналоги. Продают лицензию обычно поквартально — чтобы сравнить цены, приходится вчитываться в условия и подключать арифметику.

Простейшие признаки лжеантивируса

Сайт

  • Лечение или демонстрация через веб.[18][19] Лечение через веб невозможно: веб-браузеры устроены так, чтобы сайт вообще не имел доступа к лежащим на компьютере файлам. А эффективность антивируса никак не коррелирует с красотой интерфейса.
  • Большое количество несуществующих наград.[19]
  • Настоящий антивирус не может гарантировать «стопроцентное излечение». Вирус должен попасться «в диком виде», кто-то из интернет-активистов отсылает его антивирусным специалистам, те исследуют его — и только после этого вирус попадает в базу. На это нужно время.
  • «Крючки» в лицензионном соглашении: либо это «развлекательная программа», либо оплата идёт за «техподдержку ClamAV».[19]
  • Оплата через SMS. Легальные антивирусы предпочитают платёжные системы и банковские карты.[19]

Программа

  • Маленький размер инсталлятора или нет фазы инсталляции.[19] Dr. Web CureIt занимает более 100 мегабайт, аналогичная версия антивируса Касперского — около 150. У некоторых антивирусов (например, Avast!) бывает миниатюрный интернет-инсталлятор, но тогда все эти мегабайты будут скачаны из интернета во время установки.
  • Опознаётся другими антивирусами.[19]
  • Срабатывает на «чистой» ОС, установленной с нуля,[19] обнаруживает не характерные для данной ОС вирусы (вирус, распространяющийся в Windows, выявляется для Linux).
  • Окно UAC жёлтое (неподписанная программа), или синее, но владелец неверный (утёкший ключ).
  • Если вы единственный администратор компьютера — программа, которую вы не устанавливали. Впрочем, утилиты поменьше, связанные с производительностью и безопасностью (например, чистильщики реестра) иногда распространяются «в придачу».
  • Уже простейшая функциональность платная, без всяких испытательных периодов и бесплатных версий.[19] Например, у Лаборатории Касперского есть бесплатные варианты антивируса — Kaspersky AVP Tool и Kaspersky Rescue Disk. Деньги просят за дополнительные функции: брандмауэр, резидентный монитор, оперативное обновление и т. д.
  • Навязчивые сообщения о том, что компьютер уязвим или нужно купить программу — а чаще всего то и другое одновременно.[19]
  • Могут отсутствовать простейшие функции, присущие любой уважающей себя резидентной программе: временно остановить антивирус, деинсталлировать программу стандартными средствами ОС.[19] Может не быть и других настроек, присущих настоящему антивирусу (прокси-серверы, списки исключений).[19]

Напишите отзыв о статье "Лжеантивирус"

Примечания

  1. [eval.symantec.com/mktginfo/enterprise/white_papers/b-symc_report_on_rogue_security_software_exec_summary_20326021.en-us.pdf Symantec Report on Rogue Security Software]. Symantec (28 октября 2009). Проверено 15 апреля 2010. [www.webcitation.org/69sdVxG8b Архивировано из первоисточника 13 августа 2012].
  2. 1 2 3 [www.microsoft.com/downloads/details.aspx?FamilyID=aa6e0660-dc24-4930-affd-e33572ccb91f&displaylang=en Microsoft Security Intelligence Report volume 6 (July - December 2008)] 92. Microsoft (8 апреля 2009). Проверено 2 мая 2009. [www.webcitation.org/69sdWPTaa Архивировано из первоисточника 13 августа 2012].
  3. Leyden, John [www.theregister.co.uk/2009/04/21/zango Zango goes titsup: End of desktop adware market]. The Register (11 апреля 2009). Проверено 5 мая 2009. [www.webcitation.org/69sdXXkzH Архивировано из первоисточника 13 августа 2012].
  4. [www.virustotal.com/file/0e2fbf2eb419b0f6795b1bd3690236daa20541d91bf7355340ee476fb7a95817/analysis/ Результат сканирования] opensource-хука клавиатуры, который был использован в кейлоггере.
  5. 1 2 Doshi, Nishant (2009-01-19), [forums2.symantec.com/t5/blogs/blogprintpage/blog-id/security_risks/article-id/53 Misleading Applications – Show Me The Money!], Symantec, <forums2.symantec.com/t5/blogs/blogprintpage/blog-id/security_risks/article-id/53>. Проверено 2 мая 2009. 
  6. [www.technologyreview.com/computing/37718/ The Perfect Scam — Technology Review]
  7. [blogs.adobe.com/psirt/2009/12/new_adobe_reader_and_acrobat_v.html News Adobe Reader and Acrobat Vulnerability]. blogs.adobe.com. Проверено 25 ноября 2010. [www.webcitation.org/69sdY7sGV Архивировано из первоисточника 13 августа 2012].
  8. Chu, Kian & Hong, Choon (2009-09-30), [www.f-secure.com/weblog/archives/00001779.html Samoa Earthquake News Leads To Rogue AV], F-Secure, <www.f-secure.com/weblog/archives/00001779.html>. Проверено 16 января 2010. 
  9. Hines, Matthew (2009-10-08), [securitywatch.eweek.com/seo/malware_distributors_mastering_news_seo.html Malware Distributors Mastering News SEO], eWeek, <securitywatch.eweek.com/seo/malware_distributors_mastering_news_seo.html>. Проверено 16 января 2010. 
  10. Raywood, Dan (2010-01-15), [www.scmagazineuk.com/rogue-anti-virus-prevalent-on-links-that-relate-to-haiti-earthquake-as-donors-encouraged-to-look-carefully-for-genuine-sites/article/161431/ Rogue anti-virus prevalent on links that relate to Haiti earthquake, as donors encouraged to look carefully for genuine sites], SC Magazine, <www.scmagazineuk.com/rogue-anti-virus-prevalent-on-links-that-relate-to-haiti-earthquake-as-donors-encouraged-to-look-carefully-for-genuine-sites/article/161431/>. Проверено 16 января 2010. 
  11. Doshi, Nishant (2009-01-27), [forums2.symantec.com/t5/blogs/blogprintpage/blog-id/security_risks/article-id/55 Misleading Applications – Show Me The Money! (Part 3)], Symantec, <forums2.symantec.com/t5/blogs/blogprintpage/blog-id/security_risks/article-id/55>. Проверено 2 мая 2009. 
  12. Stewart, Joe (2008-10-22), [www.secureworks.com/research/threats/rogue-antivirus-part-2/?threat=rogue-antivirus-part-2 Rogue Antivirus Dissected - Part 2], SecureWorks, <www.secureworks.com/research/threats/rogue-antivirus-part-2/?threat=rogue-antivirus-part-2> 
  13. Moheeb Abu Rajab and Luca Ballard (2010-04-13). «[krebsonsecurity.com/wp-content/uploads/2010/04/leet10.pdf The Nocebo Effect on the Web: An Analysis of Fake Anti-Virus Distribution]» (Google). Проверено 2010-11-18.
  14. [info.nic.ru/node/3723 Google забанил домены .CO.CC | info.nic.ru]
  15. [www.ftc.gov/bcp/edu/pubs/consumer/alerts/alt121.shtm "Free Security Scan" Could Cost Time and Money], Federal Trade Commission, 2008-12-10, <www.ftc.gov/bcp/edu/pubs/consumer/alerts/alt121.shtm>. Проверено 2 мая 2009. 
  16. [tech.yahoo.com/blog/null/107193 SAP at a crossroads after losing $1.3B verdict]. Yahoo! News (24 November 2010). Проверено 25 ноября 2010. [www.webcitation.org/69sdYkrtB Архивировано из первоисточника 13 августа 2012].
  17. [cantalktech.com/2009/05/16/remove-green-antivirus-2009/ CanTalkTech — Fake Green AV disguises as security software with a cause]
  18. Хотя сервисы онлайн-сканирования существуют (например, VirusTotal), они не предлагают сканирования дисков локального компьютера, а требуют явной отправки подозрительного файла на проверку. Проверка, как правило, идёт несколькими широко известными антивирусами.
  19. 1 2 3 4 5 6 7 8 9 10 11 [www.youtube.com/watch?v=Xclc1wz8pZE Лаборатория Касперского о лжеантивирусах]

Ссылки

  • Howes, Eric L (2007-05-04), [www.spywarewarrior.com/rogue_anti-spyware.htm Spyware Warrior: Rogue/Suspect Anti-Spyware Products & Web Sites], <www.spywarewarrior.com/rogue_anti-spyware.htm>. Проверено 2 мая 2009. 
  • [en.wikipedia.org/wiki/List_of_rogue_security_software (en) List_of_rogue_security_software], <en.wikipedia.org/wiki/List_of_rogue_security_software> 
  • [support.kaspersky.ru/viruses/rogue Kaspersky Lab: Rogue security software], <support.kaspersky.ru/viruses/rogue>. Проверено 24 апреля 2012. 
Инфекционное вредоносное ПО
Методы сокрытия
Вредоносные программы
для прибыли
По операционным системам
Защита
Контрмеры
Лицензии
Модели дохода
Методы доставки

On-premises Pre-installed Бандл SaaS (Software on-demand) • Software plus services

Обманные/незаконные
Прочее

Отрывок, характеризующий Лжеантивирус

– Плохо дело, а?
– Что плохо, батюшка?
– Жена! – коротко и значительно сказал старый князь.
– Я не понимаю, – сказал князь Андрей.
– Да нечего делать, дружок, – сказал князь, – они все такие, не разженишься. Ты не бойся; никому не скажу; а ты сам знаешь.
Он схватил его за руку своею костлявою маленькою кистью, потряс ее, взглянул прямо в лицо сына своими быстрыми глазами, которые, как казалось, насквозь видели человека, и опять засмеялся своим холодным смехом.
Сын вздохнул, признаваясь этим вздохом в том, что отец понял его. Старик, продолжая складывать и печатать письма, с своею привычною быстротой, схватывал и бросал сургуч, печать и бумагу.
– Что делать? Красива! Я всё сделаю. Ты будь покоен, – говорил он отрывисто во время печатания.
Андрей молчал: ему и приятно и неприятно было, что отец понял его. Старик встал и подал письмо сыну.
– Слушай, – сказал он, – о жене не заботься: что возможно сделать, то будет сделано. Теперь слушай: письмо Михайлу Иларионовичу отдай. Я пишу, чтоб он тебя в хорошие места употреблял и долго адъютантом не держал: скверная должность! Скажи ты ему, что я его помню и люблю. Да напиши, как он тебя примет. Коли хорош будет, служи. Николая Андреича Болконского сын из милости служить ни у кого не будет. Ну, теперь поди сюда.
Он говорил такою скороговоркой, что не доканчивал половины слов, но сын привык понимать его. Он подвел сына к бюро, откинул крышку, выдвинул ящик и вынул исписанную его крупным, длинным и сжатым почерком тетрадь.
– Должно быть, мне прежде тебя умереть. Знай, тут мои записки, их государю передать после моей смерти. Теперь здесь – вот ломбардный билет и письмо: это премия тому, кто напишет историю суворовских войн. Переслать в академию. Здесь мои ремарки, после меня читай для себя, найдешь пользу.
Андрей не сказал отцу, что, верно, он проживет еще долго. Он понимал, что этого говорить не нужно.
– Всё исполню, батюшка, – сказал он.
– Ну, теперь прощай! – Он дал поцеловать сыну свою руку и обнял его. – Помни одно, князь Андрей: коли тебя убьют, мне старику больно будет… – Он неожиданно замолчал и вдруг крикливым голосом продолжал: – а коли узнаю, что ты повел себя не как сын Николая Болконского, мне будет… стыдно! – взвизгнул он.
– Этого вы могли бы не говорить мне, батюшка, – улыбаясь, сказал сын.
Старик замолчал.
– Еще я хотел просить вас, – продолжал князь Андрей, – ежели меня убьют и ежели у меня будет сын, не отпускайте его от себя, как я вам вчера говорил, чтоб он вырос у вас… пожалуйста.
– Жене не отдавать? – сказал старик и засмеялся.
Они молча стояли друг против друга. Быстрые глаза старика прямо были устремлены в глаза сына. Что то дрогнуло в нижней части лица старого князя.
– Простились… ступай! – вдруг сказал он. – Ступай! – закричал он сердитым и громким голосом, отворяя дверь кабинета.
– Что такое, что? – спрашивали княгиня и княжна, увидев князя Андрея и на минуту высунувшуюся фигуру кричавшего сердитым голосом старика в белом халате, без парика и в стариковских очках.
Князь Андрей вздохнул и ничего не ответил.
– Ну, – сказал он, обратившись к жене.
И это «ну» звучало холодною насмешкой, как будто он говорил: «теперь проделывайте вы ваши штуки».
– Andre, deja! [Андрей, уже!] – сказала маленькая княгиня, бледнея и со страхом глядя на мужа.
Он обнял ее. Она вскрикнула и без чувств упала на его плечо.
Он осторожно отвел плечо, на котором она лежала, заглянул в ее лицо и бережно посадил ее на кресло.
– Adieu, Marieie, [Прощай, Маша,] – сказал он тихо сестре, поцеловался с нею рука в руку и скорыми шагами вышел из комнаты.
Княгиня лежала в кресле, m lle Бурьен терла ей виски. Княжна Марья, поддерживая невестку, с заплаканными прекрасными глазами, всё еще смотрела в дверь, в которую вышел князь Андрей, и крестила его. Из кабинета слышны были, как выстрелы, часто повторяемые сердитые звуки стариковского сморкания. Только что князь Андрей вышел, дверь кабинета быстро отворилась и выглянула строгая фигура старика в белом халате.
– Уехал? Ну и хорошо! – сказал он, сердито посмотрев на бесчувственную маленькую княгиню, укоризненно покачал головою и захлопнул дверь.



В октябре 1805 года русские войска занимали села и города эрцгерцогства Австрийского, и еще новые полки приходили из России и, отягощая постоем жителей, располагались у крепости Браунау. В Браунау была главная квартира главнокомандующего Кутузова.
11 го октября 1805 года один из только что пришедших к Браунау пехотных полков, ожидая смотра главнокомандующего, стоял в полумиле от города. Несмотря на нерусскую местность и обстановку (фруктовые сады, каменные ограды, черепичные крыши, горы, видневшиеся вдали), на нерусский народ, c любопытством смотревший на солдат, полк имел точно такой же вид, какой имел всякий русский полк, готовившийся к смотру где нибудь в середине России.
С вечера, на последнем переходе, был получен приказ, что главнокомандующий будет смотреть полк на походе. Хотя слова приказа и показались неясны полковому командиру, и возник вопрос, как разуметь слова приказа: в походной форме или нет? в совете батальонных командиров было решено представить полк в парадной форме на том основании, что всегда лучше перекланяться, чем не докланяться. И солдаты, после тридцативерстного перехода, не смыкали глаз, всю ночь чинились, чистились; адъютанты и ротные рассчитывали, отчисляли; и к утру полк, вместо растянутой беспорядочной толпы, какою он был накануне на последнем переходе, представлял стройную массу 2 000 людей, из которых каждый знал свое место, свое дело и из которых на каждом каждая пуговка и ремешок были на своем месте и блестели чистотой. Не только наружное было исправно, но ежели бы угодно было главнокомандующему заглянуть под мундиры, то на каждом он увидел бы одинаково чистую рубаху и в каждом ранце нашел бы узаконенное число вещей, «шильце и мыльце», как говорят солдаты. Было только одно обстоятельство, насчет которого никто не мог быть спокоен. Это была обувь. Больше чем у половины людей сапоги были разбиты. Но недостаток этот происходил не от вины полкового командира, так как, несмотря на неоднократные требования, ему не был отпущен товар от австрийского ведомства, а полк прошел тысячу верст.
Полковой командир был пожилой, сангвинический, с седеющими бровями и бакенбардами генерал, плотный и широкий больше от груди к спине, чем от одного плеча к другому. На нем был новый, с иголочки, со слежавшимися складками мундир и густые золотые эполеты, которые как будто не книзу, а кверху поднимали его тучные плечи. Полковой командир имел вид человека, счастливо совершающего одно из самых торжественных дел жизни. Он похаживал перед фронтом и, похаживая, подрагивал на каждом шагу, слегка изгибаясь спиною. Видно, было, что полковой командир любуется своим полком, счастлив им, что все его силы душевные заняты только полком; но, несмотря на то, его подрагивающая походка как будто говорила, что, кроме военных интересов, в душе его немалое место занимают и интересы общественного быта и женский пол.
– Ну, батюшка Михайло Митрич, – обратился он к одному батальонному командиру (батальонный командир улыбаясь подался вперед; видно было, что они были счастливы), – досталось на орехи нынче ночью. Однако, кажется, ничего, полк не из дурных… А?
Батальонный командир понял веселую иронию и засмеялся.
– И на Царицыном лугу с поля бы не прогнали.
– Что? – сказал командир.
В это время по дороге из города, по которой расставлены были махальные, показались два верховые. Это были адъютант и казак, ехавший сзади.
Адъютант был прислан из главного штаба подтвердить полковому командиру то, что было сказано неясно во вчерашнем приказе, а именно то, что главнокомандующий желал видеть полк совершенно в том положении, в котором oн шел – в шинелях, в чехлах и без всяких приготовлений.
К Кутузову накануне прибыл член гофкригсрата из Вены, с предложениями и требованиями итти как можно скорее на соединение с армией эрцгерцога Фердинанда и Мака, и Кутузов, не считая выгодным это соединение, в числе прочих доказательств в пользу своего мнения намеревался показать австрийскому генералу то печальное положение, в котором приходили войска из России. С этою целью он и хотел выехать навстречу полку, так что, чем хуже было бы положение полка, тем приятнее было бы это главнокомандующему. Хотя адъютант и не знал этих подробностей, однако он передал полковому командиру непременное требование главнокомандующего, чтобы люди были в шинелях и чехлах, и что в противном случае главнокомандующий будет недоволен. Выслушав эти слова, полковой командир опустил голову, молча вздернул плечами и сангвиническим жестом развел руки.
– Наделали дела! – проговорил он. – Вот я вам говорил же, Михайло Митрич, что на походе, так в шинелях, – обратился он с упреком к батальонному командиру. – Ах, мой Бог! – прибавил он и решительно выступил вперед. – Господа ротные командиры! – крикнул он голосом, привычным к команде. – Фельдфебелей!… Скоро ли пожалуют? – обратился он к приехавшему адъютанту с выражением почтительной учтивости, видимо относившейся к лицу, про которое он говорил.
– Через час, я думаю.
– Успеем переодеть?
– Не знаю, генерал…
Полковой командир, сам подойдя к рядам, распорядился переодеванием опять в шинели. Ротные командиры разбежались по ротам, фельдфебели засуетились (шинели были не совсем исправны) и в то же мгновение заколыхались, растянулись и говором загудели прежде правильные, молчаливые четвероугольники. Со всех сторон отбегали и подбегали солдаты, подкидывали сзади плечом, через голову перетаскивали ранцы, снимали шинели и, высоко поднимая руки, натягивали их в рукава.


Источник — «http://wiki-org.ru/wiki/index.php?title=Лжеантивирус&oldid=81565909»